Egy rendkívül kifinomult és megtévesztő kibertámadási kampány terjed jelenleg Európa-szerte, elsősorban a vendéglátóipart célozva. A támadók hamis Windows rendszerösszeomlásokat, jól ismert márkák nevével visszaélő adathalász üzeneteket és megbízható Microsoft-eszközök visszaélését kombinálják annak érdekében, hogy a felhasználókat saját magukat rávegyék a kártékony kód futtatására.
A kampányt a Securonix kutatói PHALT#BLYX kódnéven azonosították. A műveletet először 2025 decemberében észlelték, azóta pedig egy többlépcsős fertőzési lánccá fejlődött, amely adathalászatot, márkamegszemélyesítést, hamis rendszerhibákat és „living off the land” technikákat alkalmaz egy távoli hozzáférést biztosító trójai (RAT) telepítéséhez.
🎣 A támadás adathalász e-maillel indul
A fertőzési lánc első lépcsője egy célzott adathalász e-mail, amely látszólag a Booking.com nevében érkezik. Az üzenet jellemzően:
- nagy összegű (gyakran 1 000 eurót meghaladó) foglalás lemondásáról,
- vagy váratlan terhelésről értesíti a szálláshely munkatársait,
- sürgető hangnemben arra kérve őket, hogy kattintsanak a részletek megtekintéséhez.
A célcsoport elsősorban szállodai recepciósok és foglalásokkal foglalkozó munkatársak, akik a mindennapi munkájuk során megszokták az ilyen jellegű értesítéseket.
🖥️ Hamis hibák és kékhalál: a ClickFix trükk lényege
A link egy megtévesztésig hiteles Booking.com-klónra vezet, amelyet támadók által kontrollált domainen (pl. low-house[.]com) hosztolnak. A weboldal arculata – logók, betűtípusok, színek – szinte tökéletesen megegyezik az eredetivel.
A látogatót ezután egy „Loading is taking too long” hibaüzenet fogadja, amely frissítésre ösztönöz. A kattintás után azonban a böngésző:
- teljes képernyős módba vált,
- és megjelenít egy hamis Windows Blue Screen of Death (BSOD) animációt.
Ez a képernyő nem valódi rendszerhiba, hanem a ClickFix nevű social engineering technika kulcseleme.
⌨️ A felhasználó saját maga indítja el a támadást
A hamis BSOD „megoldást” kínál, és lépésről lépésre utasítja a felhasználót:
- nyomja meg a Windows + R billentyűkombinációt,
- használja a CTRL + V billentyűket (a vágólapon már ott a támadók parancsa),
- majd nyomja meg az Entert.
Ezzel a felhasználó saját maga futtat egy rosszindulatú PowerShell-parancsot, teljesen megkerülve számos hagyományos védelmi mechanizmust.
🛠️ „Living off the land”: megbízható eszközök visszaélése
A PowerShell-parancs:
- letölt egy .NET projektfájlt (pl.
v.proj), - majd a MSBuild segítségével fordítja és futtatja azt.
Ez az ún. LotL (Living off the Land) technika azért hatékony, mert:
- a biztonsági megoldások gyakran megbíznak a rendszerkomponensekben,
- nem jelenik meg klasszikus „ismeretlen futtatható állomány”.
A fertőzés során a kártevő:
- kivételeket ad hozzá a Windows Defenderben,
- UAC-kérésekkel próbál jogosultságot emelni,
- BITS-en keresztül további komponenseket tölt le,
- automatikus indítást állít be,
- végül telepíti a DCRat (Dark Crystal RAT) kártevőt.
🕵️♂️ DCRat: teljes távoli irányítás
A DCRat egy jól ismert, sokoldalú RAT, amely képes:
- teljes távoli asztalvezérlésre,
- parancsok végrehajtására,
- billentyűnaplózásra,
- további payloadok memóriából történő futtatására.
A Securonix legalább egy esetben kriptobányász telepítését is megfigyelte másodlagos payloadként.
🌍 Feltételezett háttér és célzás
A kampány több jel alapján orosz kötődésű szereplőkhöz kapcsolható:
- orosz nyelvű artefaktumok a kódban,
- euróban megadott összegek,
- kifejezetten európai szállodák célzása a főszezonban.
Ez illeszkedik a korábbi, Booking.com nevével visszaélő kampányok trendjébe.
🚨 Miért különösen veszélyes ez a támadás?
- A felhasználó hajtja végre a kódot, nem egy automatikus exploit.
- Megkerüli a szkriptszűrést és sandboxokat.
- Megbízható eszközökre épít.
- Többrétegű pszichológiai manipulációt alkalmaz.
A szakértők szerint ez a social engineering új szintje.
🛡️ Védekezési javaslatok
Szervezetek számára különösen ajánlott:
- Speciális adathalászat-ellenes oktatás, amely kitér hamis hibaképernyőkre is.
- Kritikus pénzügyi műveletek többcsatornás megerősítése.
- PowerShell- és MSBuild-használat monitorozása.
- Admin jogosultságok szigorú korlátozása.
🔚 Összegzés
A PHALT#BLYX kampány jól mutatja, hogy a modern támadások már nem technikai hibákat, hanem emberi bizalmat és rutinokat céloznak. A védekezéshez nem elég egy jó vírusirtó: tudatosság, viselkedéselemzés és szervezeti felkészültség szükséges.
